Un contacto en LinkedIn y el señuelo de «arreglar el sonido»: así los hackers JINX-0164 roban criptomonedas a desarrolladores de macOS

Los hackers encontraron una nueva forma de llegar a las empresas de criptomonedas: se presentan ante desarrolladores en LinkedIn, invitan a una «reunión de negocios» y luego entregan un programa malicioso haciéndose pasar por una corrección de un problema de sonido. Así actúa el nuevo grupo JINX-0164, al que siguen los especialistas de Wiz.

Según Wiz CIRT y Wiz Research, JINX-0164 ha atacado a desarrolladores y a la infraestructura de desarrollo en organizaciones de criptomonedas al menos desde mediados de 2025. Los atacantes utilizan perfiles convincentes en LinkedIn, páginas de videoconferencia falsificadas y software malicioso para macOS. El objetivo principal del grupo, según Wiz, es robar criptomonedas y obtener acceso a los sistemas de desarrollo.

En uno de los casos investigados, la intrusión se desarrolló durante aproximadamente dos semanas. Primero el atacante contactó a un empleado a través de LinkedIn y se hizo pasar por un potencial socio comercial. El perfil parecía verosímil: tenía conexiones, experiencia laboral relevante y coincidía con el sector. Tras una breve comunicación le ofrecieron a la víctima una llamada, y el enlace a la reunión se disfrazó como un servicio legítimo de videoconferencia, incluido Microsoft Teams.

Tras hacer clic en el enlace, el usuario descargó y ejecutó un programa malicioso para macOS. Se distribuía mediante un script de shell desde el dominio falso apple.driver-store[.]com y se hacía pasar por un controlador de audio del sistema. Wiz denomina a este programa AUDIOFIX. Está escrito en Python, puede robar datos y proporciona a los atacantes acceso remoto al equipo infectado.

AUDIOFIX recopilaba contraseñas, claves SSH, datos de navegadores, archivos del llavero de macOS, credenciales de servicios en la nube, tokens de Cloudflare, datos de Discord, Slack y Telegram, así como información sobre billeteras de criptomonedas. El programa también vigilaba el portapapeles, donde con frecuencia aparecen contraseñas, direcciones de billeteras y otros datos sensibles.

Al obtener acceso al equipo del desarrollador, JINX-0164 no optó por ampliar la intrusión mediante servicios en la nube. En cambio, los atacantes se centraron en los repositorios y en la infraestructura interna de desarrollo. Inyectaban AUDIOFIX en el código fuente para infectar a otros empleados que actualizaban el proyecto y compilaban el programa desde un repositorio ya comprometido.

Para ocultarse, el grupo cambiaba el nombre y la dirección del autor del commit, presentaba los cambios maliciosos como trabajo de otros desarrolladores, enviaba el código directamente a la rama principal si el repositorio no estaba protegido, o incrustaba la carga maliciosa en ramas existentes. En un caso la propagación se logró detener gracias al modo Vigilant Mode en GitHub: los commits sospechosos quedaron marcados como de firma no verificada y los registros de auditoría vincularon el envío de código con el dispositivo inicialmente comprometido.

Wiz también vincula a JINX-0164 con un ataque a la cadena de suministro. El 7 de abril de 2026 el grupo insertó código malicioso en la versión 4.9.1 del paquete @velora-dex/sdk para npm. Al instalar el paquete, la inserción maliciosa intentaba descargar un script que instalaba MINIRAT, un pequeño programa de acceso remoto escrito en Go. El código fuente en GitHub no se modificó, por lo que los especialistas de Wiz consideran que los atacantes obtuvieron acceso a las credenciales de npm.

MINIRAT recopila datos básicos del sistema, entre ellos el nombre del host, el nombre de usuario y la dirección IP externa, y luego se comunica con un servidor de control. El programa puede ejecutar comandos, descargar y enviar archivos, pero no realiza un robo masivo automático de datos como AUDIOFIX.

La infraestructura de JINX-0164 imitaba Microsoft Teams, Slack, Aircall, páginas de actualización de controladores y sitios de empresas de criptomonedas. Los atacantes registraban dominios similares, copiaban páginas reales, añadían localización y materiales de ayuda, y colocaban las instrucciones maliciosas solo en páginas separadas. Para enmascarar la actividad de red, el grupo usó servicios VPN como Mullvad VPN, Astrill VPN y ExpressVPN.

En cuanto a las técnicas, JINX-0164 recuerda a algunos grupos de Corea del Norte que también atacan a empresas de criptomonedas y a desarrolladores. Sin embargo, Wiz no encontró coincidencias de infraestructura con grupos ya conocidos, y los programas maliciosos y algunas tácticas están implementados de forma distinta. Por eso los especialistas por ahora no relacionan a JINX-0164 con un estado o patrocinador concreto.

Para las empresas, la conclusión principal de la investigación es sencilla: los desarrolladores siguen siendo uno de los objetivos más atractivos para los ataques dirigidos a la industria de las criptomonedas. Un portátil infectado puede dar a los atacantes acceso no solo a billeteras y contraseñas, sino también a los sistemas de compilación, a los repositorios y a los canales de distribución de código.